Abwehr

Static Application Security Testing

Abkürzung: SAST

Automatisierte Analyse von Quellcode, Bytecode oder Binärdateien auf Sicherheitsschwachstellen, ohne die Anwendung auszuführen.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“SAST liest deinen Code durch — wie ein sehr kritischer Lektor — und sucht nach typischen Fehlern die Sicherheitslücken erzeugen. Das passiert bevor das Programm überhaupt gestartet wird. So werden Bugs gefunden, bevor sie in echten Systemen Schaden anrichten.”

Ausführliche Erklärung

SAST-Tools (SonarQube, Checkmarx, Semgrep, Snyk Code) analysieren den Quellcode statisch auf bekannte Muster wie SQL-Injection, XSS, unsichere Kryptographie oder Hardcoded Secrets. Vorteile: frühe Fehlererkennung im SDLC, vollständige Code-Abdeckung, keine laufende Anwendung nötig. Nachteile: Hohe False-Positive-Rate, keine Laufzeit-Schwachstellen erkennbar, Schwierigkeiten mit komplexen Datenflüssen. SAST ist Teil des DevSecOps "Shift Left" Ansatzes.

>Wie funktioniert das?

Quellcode wird in das SAST-Tool eingespeist (oft via CI/CD-Pipeline-Integration)

Tool erstellt einen abstrakten Syntaxbaum (AST) und Datenflussgraph

Bekannte Schwachstellenmuster werden gegen den Code geprüft

Findings werden mit Schweregrad, Ort im Code und Behebungsempfehlung ausgegeben

Entwickler prüfen Findings, beheben echte Probleme und markieren False Positives.

?Häufig gestellte Fragen

Antwort

Entwicklungsteams, DevSecOps-Engineers und Security-Abteilungen — idealerweise integriert in die IDE (Echtzeit-Feedback) und CI/CD-Pipeline (Gate vor dem Merge).

Antwort

Die hohe False-Positive-Rate — viele gemeldete Befunde sind tatsächlich kein Problem. Das kostet Entwickler Zeit und kann zur "Alert Fatigue" führen, wenn SAST nicht richtig konfiguriert ist.

Antwort

Für das Erkennen von Injektionsschwachstellen (SQL, Command), unsicherer Kryptographie, Hardcoded Credentials, Path-Traversal und anderen musterbasiert erkennbaren Schwachstellen.

Antwort

SAST sieht den Code aber nicht die Laufzeit — es findet statische Fehler aber keine Konfigurationsprobleme oder Interaktionseffekte. DAST sieht die laufende Anwendung aber nicht den Code. Zusammen decken sie mehr ab.

Antwort

Durch Tuning der Regeln auf das konkrete Projekt, Whitelisting bekannter False Positives, Nutzung von KI-gestützten SAST-Tools (weniger FPs) und schrittweise Einführung mit fokussiertem Regelsatz.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC